Открити са 23 технически уязвимости при одита на системата за

...
Открити са 23 технически уязвимости при одита на системата за
Коментари Харесай

Одиторите: Имало е опит за неоторизиран достъп до системата за разпределение на дела

Открити са 23 механически уязвимости при одита на системата за инцидентно систематизиране на каузи, демонстрира резюмето на отчета за одит на осведомителната сигурност.
В осъществяване на подписан контракт с Висшия правосъден съвет, през интервала 17 февруари 2020 година – 9 март 2020 година от страна на „ АМАТАС “ ЕАД е осъществен одит на осведомителната сигурност на Централизираната система за инцидентно систематизиране на делата (ЦССРД), с оглед ограничение на вътрешни и външни уязвимости. Одитът е осъществен за определяне на налични уязвимости на системата, като е симулирана активност от злоумишлен нападател, с цел да се откри до какви запаси от тестваната система подобен нападател би могъл да реализира достъп, както и какви промени може да нанесе по системата. С цел да се предотвратят проблеми във връзка с естественото действие на системата, за задачите на одита продукционната среда е репликирана в тестова такава, прецизират от Висш съдебен съвет.
Централизираната система за инцидентно систематизиране на делата физически е ситуирана на сървър на Висшия правосъден съвет. Достъпът до нея е стеснен до съответни ползватели и други механически лица, отговарящи за нейната техническа поддръжка и се обезпечава чрез три пласта на отбрана.
При одита е изработен разбор на конфигурацията на сървъра, на който е ситуирана ЦССРД, въз основата данни, на кода на приложението и на журналните записи за потребление на системата. За тестването са употребявани автоматизирани и полуавтоматизирани софтуерни решения, осъществени са оценки и инспекции от страна на специалисти по киберсигурност.
Одитните дейности са осъществени по метод, който да обезпечи опазването на естествената функционалност на системата.
При одита са открити общо 23 механически уязвимости, равнището на риск на които е изчислено по отношение на Common Vulnerability Scoring System (https://www.first.org/cvss/).
Установените уязвимости са, както следва:
С високо равнище на риск – 11 (47,8%) – уязвимости, свързани с достъпа до системата, както и такива , които в границите на ЦССРД дават опция за нарушение на сигурността на системата посредством:
● неоторизирано прибавяне на нов съд;
● неоторизирана редакция на непознат съд;
● неоторизирана редакция на съдии от различен съд;
● неоторизирана редакция на групи от съдии от непознат съд;
● неоторизирано заличаване на инкрементални номера;
● неоторизирано заличаване на отсъствия;
● неоторизирано заличаване на регистрирани дежурства;
● неоторизиран достъп до данни на консуматори от непознат съд;
● неоторизирано систематизиране на дело на арбитър от непознат съд.
II. Със приблизително равнище на риск – 2 (8,7%) – уязвимости, които в границите на системата
обезпечават евентуална опция за нарушение поверителността на
информацията в ЦССРД посредством:
● откриване на информация за съществуващи потребители;
● откриване на информация за съществуващи съдии.
III. С ниско равнище на риск – 10 (43,5%) – уязвимости, свързани с настройките за
сигурност на систематични детайли – част от ЦССРД и авансово изискващи
достъп до сървъра:
• накърнимост вид „ Hotlinking “;
• незадоволителна дълготрайност на заключване на акаунт (Local Group Policy);
• опция за прибавяне на компютър / устройство към домейн контролер (Local Group Policy);
• опция за генериране на систематични отчети от операционната система (Local Group Policy);
• опция за регистриране като „ batch job “ (Local Group Policy);
• опция за заменяне на токен на развой (Local Group Policy);
• опция за прекъсване на операционната система (Local Group Policy);
• опция за блокиране на Microsoft сметки (Local Group Policy);
• опция за преименуване на посетителски сметки (Local Group Policy);
• опция за форматиране на закачени портативни устройства (Local Group Policy).
Установените при одита уязвимости съставляват риск, като експлоатирането на част от тях би могло, при съществуването на спомагателни предпоставки, включително и авансово обезпечен достъп, да докара до неоторизирани промени в резултатите от разпределението на каузи .
Тестовете за оценка на сигурността не са открили техническа опция за достъп до системата отдалечено, без съответното лице да бъде авансово и ръчно оторизирано от лицата, виновни за това.
В рамките на договорно избрания обсег, одитиращото сдружение не е имало задача да прави инспекции за определяне на действителни нарушавания на сигурността на системата , в това число за сбъднат неоторизиран достъп и за осъществени операции при разпределението на каузи от ЦССРД, и такива инспекции не са осъществявани. Въпреки това, по време на тестванията за оценка на сигурността са видяни журнални файлове със следи от евентуално злонамерена активност по отношение на системата на ЦССРД от страна на IP адрес с локация гр. София. Опитите за неоторизиран достъп до базата данни са се състояли сред 22:38 ч. и 22:47 ч. на 4-ти октомври 2016 година, като за същите са употребявани автоматизирани принадлежности .
Няма информация по отношение на получения отговор от страна на сървъра.
На база резултатите от одита е установено, че ЦССРД е създадена с фокус върху нейната функционалност. В същото време, системата не е предпазена с задоволително надеждни контроли за сигурност от техническа позиция, съответстващи на нейното предопределение и отговарящи на положителните практики и стандарти по осведомителна сигурност, защото системата употребява остарели технологии .
Въз основа на установените уязвимости, с одитния отчет са дадени съответни рекомендации за тяхното премахване, както и за цялостното възстановяване на сигурността на ЦССРД. Специални рекомендации са дадени във връзка с уязвимостите, свързани с достъпването на системата, доколкото такива уязвимости са една от най-често срещаните аргументи за компрометиране на осведомителни системи и същите могат да разрешат на външни лица да достъпят непосредствено базите данни и по този метод да извършат нерегламентирани действия, с които да нарушат интегритета на тези данни .
Вижте още:
Прокуратурата разрешава на Висш съдебен съвет да оповести одита на системата за инцидентно систематизиране на дела
Източник: actualno.com

СПОДЕЛИ СТАТИЯТА



Промоции

КОМЕНТАРИ
НАПИШИ КОМЕНТАР